VLAN inledning

I ett switch-baserat nätverk kan ett fysiskt nätverk delas upp i flera virtuella nätverk. Dessa virtuella nätverk är kända som virtuella LAN, därmed förkortningen VLAN. Virtuella LAN underlättar grupperingar av nätverksenheter per LAN, även om fysiskt alla nätverksenheter är anslutna till en och samma switch. Nätverksuppdelningen görs av olika skäl exempelvis baserat på faktorer som funktion, användarens åtkomst till resurser eller applikationer som får användas.

Varje VLAN anses vara ett separat logiskt nätverk därmed adresseras de med specifika nätverksadresser. Nätverksenheter inom varje VLAN kan kommunicera med varandra, i sitt eget nätverk så att säga. Men kommunikationen mellan VLAN kräver en router mellan.

Bild 1: VLAN teknik

Fördelar med VLAN

  • VLAN förbättrar nätverksprestanda genom att separera stora nätverksområde till mindre.
  • VLAN möjliggör implementering av åtkomst- och säkerhetspolicy som styr grupper eller individuella nätverksenheter och användare.
  • Datoranvändare kan placeras på olika våningar även om deras datorer är anslutna till samma switch.
  • Högre säkerhet eftersom paketleverans sker i ett mindre och begränsat LAN.
  • Broadcast trafik kan begränsas genom att minska broadcast-domäner.
  • Åtkomst till nätverkstjänster per avdelning (per VLAN).

VLAN implementering

I princip finns det två metoder för att implementera VLAN:

  • som portbaserade VLAN. (inte taggade). På de gröna portar ansluts nätverksenheter tillhörande till en specifik nätverksadress. På de röda portar ansluts nätverksenheter tillhörande till en annan nätverksadress. Observera att gröna portar nummer 4 i switch A och B ansluts samman och det samma görs med röda portar nummer 8.
  • som taggade VLAN. Det samma som ovan men här används endast en kabel mellan switcharna A och B. Portnummer 8 i switch A och B kan vidarebefordra A-frame och B-frame . Denna typ av VLAN är fokus i kursen.
Bild 2: VLAN implementationer

Det finns ett antal olika typer av VLAN:

Data VLAN

En Data VLAN är konfigurerad att bära användargenererad trafik och inte VLAN-hanteringstrafik eller röst-trafik. Det är vanligt att separera röst- och VLAN-hanteringstrafik från vanlig datatrafik. En data VLAN kallas ibland som en User VLAN. Data VLAN används för att separera användargrupper per VLAN.

Default VLAN

Alla portar i en switch tillhör till Default VLAN som konfigureras automatiskt vid switchens initiala start. Efter den initiala uppstarten av en switch tillhör dess portar till en och samma broadcast-domän. Detta gör det möjligt kommunikationen mellan alla nätverksenheter som är anslutna till switchen. Denna default VLAN kallas VLAN 1 vilket kan verifieras med kommandot show vlan brief:

Bild 3: Default VLAN, VLAN 1

VLAN 1 kan inte raderas eller byta namn och som default fjärradministreras switchar via VLAN 1.

Native VLAN

Från början fungerar alla portar som access-port och de inkluderas i en default VLAN med namn VLAN 1. Eftersom alla portar tillhör till samma VLAN markeras inte Ethernet-ramar vilket är känd som “untagged frames“. Som default är VLAN 1 en Nativ VLAN. Men när flera VLAN skapas behöver Ethernet-ramar identifieras via inkapslingsprotokoll 802.1Q.
I exemplet som illustreras nedan skickar PC1, som inte känner till VLAN-teknik, ett broadcast-paket till en hubb. Denna skickar vidare mottagna frame till alla anslutna switchar utan att ändra någon styrinformation. När dessa omarkerade ramar tas emot av switchar associeras ramarna med VLAN 1 och därför skickar switchen ramarna via de portar som tillhör VLAN 1. Om det inte finns några associerade portar med det nativa VLAN och om inte finns någon trunk-port tas omarkerade ramar bort från trafiken.

Bild 4: Access och Trunk portar

Obs: Hubbar används inte längre i dagens moderna nätverk.

Ethernet ramformat

Switchar som stödjer VLAN-teknik markerar ramar (frames) med en etikett. Denna etikett kallas på engelska TAG och markerade ramar kallas på engelska “tagged trafik“. Allt annat datatrafik kallas “untagged trafik“. Markerad trafik refererar till trafik som har en 4-byte-tagg infogad i den ursprungliga Ethernet-ramhuvudet (se bilden ovan). När omarkerade frame hamnar på switchens trunk-port betraktas de som en del av native VLAN vilken som default är VLAN 1. Det rekommenderas att konfigurera en annan native VLAN än VLAN 1, mest av säkerhetsskäl.

Bild 5: Ethernet frame format

Management VLAN

En management VLAN är vilken VLAN som helst som är konfigurerad för fjärradministrationen. Att fjärradministrera en switch kräver att switchen adresseras med en IP-adress och detta görs på ett virtuellt interface (Switch Virtual Interface, SVI). VLAN 1 tilldelas det virtuella interfacet. Fjärradministrationen kan göras via HTTP, Telnet, SSH eller SNMP.

Tidigare hade switchar endast ett aktiverat SVI. På 15.x-versioner av Cisco IOS för Catalyst 2960 Series-switch är det möjligt att ha mer än en aktiv SVI.

Voice VLAN

En separat VLAN behövs för att stödja Voice over IP (VoIP). VoIP-trafik kräver:

  • Garanterad bandbredd för att säkerställa röstkvaliteten
  • Överföringsprioritering över andra typer av nätverkstrafik
  • Förmåga att dirigeras runt överbelastade nätverksområden
  • Fördröjning på mindre än 150 ms över nätverket
  • För att uppfylla dessa krav måste hela nätverket utformas för att stödja VoIP.
Bild 6: Voice VLAN

I bilden ovan är VLAN 150 konfigurerad för att bära rösttrafik. Studentdatorn PC5 som är ansluten till Cisco IP-telefonen och telefonen ansluten till switch S3 genererar rösttrafik som skickas ut till porten F0/18. Switch S3 identifierar rösttrafiken och associerar till VLAN 150 och vidarebefordrar till switch S1.

VLAN Trunk

En trunk är en punkt-till-punkt-länk mellan två switchar som bär mer än en VLAN. Virtuella LAN skulle inte vara mycket användbar utan VLAN-trunkar. VLAN-trunkar tillåter all VLAN-trafik att sprida sig mellan switchar så att nätverksenheter som är i samma VLAN, men som är anslutna till olika switchar, kan kommunicera med varandra utan ingrepp av en router.

Bild 7: VLAN trunk

I bilden ovan är länkarna mellan switchar S1 och S2 och S1 och S3 konfigurerade för att tillåta trafik som kommer från VLANs 10, 20, 30 och 99 över nätverket. Observera att PC1 och PC4 tillhör till ett och samma virtuellt LAN, VLAN 10. Det samma för enheten PC2 och PC5 som är med i VLAN 20. Det finns också i exemplet VLAN 30 ditt tillhör PC3 och PC6.

Switch S1 tar emot frame från PC1, PC2 och PC3 och skickar de till porten F0/11 som är en trunkport. Switch S1 ansluter samman switcharna S2 och S3 så den också har konfigurerade trunkport interface F0/1 och F0/3.

Dynamic Trunking Protocol

När två switchar kopplas ihop uppstår trafik mellan de. Varje switch har en default konfiguration där alla portar lyssnar på datatrafik inom VLAN 1. Hur uppstår datatrafik mellan två switchar? Svaret är DTP.

DTP används av switchar för att förhandla ett visst arbetsläge, ett trunk läge så att olika VLAN-ramar kan flöda fram och tillbaka mellan dessa två switchar. Alla interface eller portar på en switch kan fungera i ett av två arbetsläge: Access eller Trunk. Som default konfigureras alla portar som Access port, men varje port är redo att förhandla möjligheten att bli trunk port tack vare protokollet DTP. Detta protokoll är normalt aktiverat på varje port och för bättre hantering kan protokollet konfigureras statiskt.

DTP packet skickas ut varje 60 sekunder och annonserar viljan att bli trunk-port. Förhandlingar kan generera olika arbetsläge beroende på kombinationer mellan följande alternativ:

  • Dynamic auto -En switchs port i dynamic auto läge annonserar inte viljan till att arbeta i trunk-läge. Men beroende på den andra switchens port kan arbetsläge ändå ställa sig in i trunk-läget, exempelvis om den andra port är i dynamic desirable läge.
  • Dynamic desirable -En switchs port i dynamic desirable läge kommer aktivt att annonsera viljan att arbeta i trunk-läget.
  • Trunk – En switchs port i trunk-läge arbetar som sådant, men porten kan också gå in förhandlingar med en annan switch för att arbeta i trunk-läge.
  • Access – En switchs port i access-läge arbetar just i det läget och annonserar inte någon vilja att arbeta i trunk-läget.

Portarnas arbetsläge kan illustreras med hjälp av tabellen nedan där man matchar kolumn med rad. Till exempel kolumn 2 och rad 2 innebär arbetsläge ACCESS, men kolumn 2 och rad 3 ger arbetsläge TRUNK. Det blir det samma med kolumn 2 och rad 4, men inte kolumn 2 och rad 5 där arbetsläget är ACCESS.

Bild 8: Dynamic Trunking Protocol

Det går också att lära sig följande matchningar:

  • Dynamic Auto + Dynamic Auto = Access
  • Dynamic Desirable + Dynamic Desirable = Trunk
  • Dynamic Desirable + Dynamic Auto = Trunk
  • Dynamic Desirable + Trunk = Trunk
Bild 9: DTP arbetsläge